Serie Kieback&Peter DDC4000 | CISA
1. RESUMEN EJECUTIVO
- CVSS v4 9.3
- ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
- Proveedor: Kieback&Peter
- Equipo: Serie DDC4000
- Vulnerabilidades: Transversal de ruta, Credenciales insuficientemente protegidas, Uso de credenciales débiles
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga plenos derechos de administrador en el sistema.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Los siguientes productos de la serie Kieback&Peter DDC4000 se ven afectados:
- DDC4002: Versiones 1.12.14 y anteriores
- DDC4100: Versiones 1.7.4 y anteriores
- DDC4200: Versiones 1.12.14 y anteriores
- DDC4200-L: Versiones 1.12.14 y anteriores
- DDC4400: Versiones 1.12.14 y anteriores
- DDC4002e: Versiones 1.17.6 y anteriores
- DDC4200e: Versiones 1.17.6 y anteriores
- DDC4400e: Versiones 1.17.6 y anteriores
- DDC4020e: Versiones 1.17.6 y anteriores
- DDC4040e: Versiones 1.17.6 y anteriores
3.2 Descripción general de la vulnerabilidad
3.2.1 LIMITACIÓN INADECUADA DE UNA RUTA A UN DIRECTORIO RESTRINGIDO (‘RUTA RECORRIDA’) CWE-22
El producto afectado es vulnerable a una vulnerabilidad de recorrido de ruta, que puede permitir que un atacante no autenticado lea archivos en el sistema.
CVE-2024-41717 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-41717. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.2 CREDENCIALES INSUFICIENTEMENTE PROTEGIDAS CWE-522
El producto afectado tiene una vulnerabilidad de credenciales insuficientemente protegidas, lo que puede permitir que un atacante no autenticado con acceso a /etc/passwd lea los hashes de contraseñas de todos los usuarios del sistema.
CVE-2024-43812 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8,4; la cadena del vector CVSS es (AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-43812. Se ha calculado una puntuación base de 8,6; la cadena del vector CVSS es (CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.2.3 USO DE CREDENCIALES DÉBILES CWE-1391
El producto afectado utiliza credenciales débiles, lo que puede permitir que un atacante no autenticado obtenga todos los derechos de administrador en el sistema.
CVE-2024-43698 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,8; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-43698. Se ha calculado una puntuación base de 9,3; la cadena del vector CVSS es (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Sector de Manufactura Crítica, Sector de Instalaciones Comerciales, Sector de Comunicaciones, Sector de Servicios Financieros, Sector de Alimentación y Agricultura, Sector de Instalaciones y Servicios Gubernamentales, Sector de Salud Pública y Salud, Sector de Tecnología de la Información
- PAÍSES/ÁREAS DESPLEGADAS: Europa, Oriente Medio y Asia.
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Alemania
3.4 INVESTIGADOR
Raphael Ruf de terreActive AG informó de estas vulnerabilidades a CISA.
4. MITIGACIONES
Los controladores Kieback&Peter DDC4002, DDC4100, DDC4200, DDC4200-L y DDC4400 se consideran al final de su vida útil (EOL) y ya no son compatibles. Los usuarios que operen estos controladores deben asegurarse de que funcionen en un entorno OT estrictamente separado y considerar actualizarlos a un controlador compatible.
Kieback&Peter recomienda a los usuarios actualizar a los controladores DDC4002e, DDC4200e, DDC4400e, DDC4020e y DDC4040e.
Kieback&Peter recomienda a todos los usuarios afectados que se pongan en contacto con su oficina local de Kieback&Peter para actualizar el firmware de los sistemas DDC compatibles a la versión 1.21.0 o posterior.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, tales como:
- Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que estén no accesible desde internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aíslelos de las redes comerciales.
- Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que la VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social:
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a estas vulnerabilidades.
5. ACTUALIZAR HISTORIAL
- 17 de octubre de 2024: Publicación inicial